Cómo es posible sufrir un hackeo de tu WhatsApp como a Belén Esteban

Si no que se lo digan a la televisiva Belén Esteban , conocida colaboradora del programa del corazón «Sálvame», que durante sus vacaciones de Luna de Miel ha sido objeto de un fraude o robo de identidad. Según la denuncia interpuesta ante la Guardia Civil , su perfil en WhatsApp se ha deshabilitado. Alguien, suplantando su identidad, ha logrado acceder a la aplicación para hacerse pasar por ella y mandar mensajes a sus compañeros.

Aunque las circunstancias todavía no se han esclarecido, los expertos en seguridad informática apuntan a varias posibles explicaciones. Por un lado, haber tenido acceso de alguna manera a la versión para navegadores web WhatsApp Web. Por el contrario, ser objeto de un timo conocido como « SIM Swapping », por el que personas malintencionadas consiguen robar los datos y duplicar la tarjeta SIM de la víctima. O, relacionado con esto último, haber interceptado el mensaje de texto o SMS de verificación en el momento en el que se está intentando registrar un nuevo perfil en otro dispositivo.

En el primero de los casos, sin embargo, se requiere de un acceso físico. En la segunda de las técnicas se trata de una estafa que permite ser el receptor de un mensaje de texto de verificación que requieren numerosos servicios digitales, aunque «implica más cosas y es más complicado», asegura a este diario Deepak Daswani , experto en seguridad informática, quien se decanta, sin embargo, por una teoría incluso más rudimentaria: la posibilidad de haber «espiado» el código de verificación. «Esto se puede hacer incluso sin tener acceso físico o en remoto», añade.

«Lo que ha podido pasar es una estafa de hacerse pasar por la persona. Para ello, necesita registrar su número (el de Belén Esteban ) en otro dispositivo. Alguien tiene que haber interceptado el SMS de verificación, algo que se puede hacer con técnicas de ingeniería social y el engaño. Es una forma muy sencilla y habitual. No lo sabemos con exactitud, pero el esquema tiene toda la pinta de que le han robado el código SMS. También se pueden haber robado por medio de técnicas de "phishing" o suplantación de identidad», añade este especialista.

La versión para navegadores web WhatsApp Web funciona , a todos los efectos, como un espejo de la aplicación del móvil. Para activarla se requiere completar varios pasos: abrir el servicio en el terminal, acceder al menú, entrar en «WhatsApp Web» y apuntar con la cámara al código QR que aparece en la pantalla del ordenador. Automáticamente, se abrirá una sesión. Al contrario que en Android, que sí se manda una notificación, en dispositivos iPhone la única manera de saber si se ha iniciado sesión con tu perfil es dirigiéndose a un apartado dentro de los ajustes de la aplicación, pudiéndose cerrar sesión en cualquier momento . Sin embargo, esta acción no implica deshabilitar la «app» , algo que sí ha denunciado la colaboradora del programa.

Para el clonado de la tarjeta SIM se requiere de un mayor esfuerzo. « Implica engañar a alguien y el usuario se daría cuenta porque la app quedará deshabilitada », confirma a este diario Lorenzo Martínez , experto en seguridad informática de Securízame. Se trata de un fraude de los operadores que no comprueban la identidad de los usuarios y que en los últimos años ha sido una técnica que ha crecido exponencialmente. «Alguien ha tenido acceso a su teléfono físico o, al menos, una aplicación de control remoto».

Una de las medidas de seguridad de WhatsApp es la verificación de dos pasos. Una medida que ha venido cobrando importancia en los diferentes servicios digitales. Para ponerla en marcha, hay que dirigirse a «Configuración», entrar en «Cuenta» y activar «Verificación en dos pasos». El sistema, por tanto, requerirá un código si el usuario vuelve a registrar su número de teléfono en la aplicación.